Locky, Cryptolocker oder Teslacrypt

Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert

31.03.2016
Von Dr. Polster
Das erste Quartal 2016 steht im Zeichen der Ransomware-Angriffe wie Locky, Cryptolocker, Cryptowall oder Teslacrypt. Vorrangige Ziele: Krankenhäuser, Stadtverwaltungen und Industrieunternehmen. Institutionen in Deutschland, Österreich, den USA und Kanada sind besonders stark betroffen. Präventive Maßnahmen helfen, Angriffe abzuwehren oder den Schaden zumindest zu begrenzen.

Ein Klick auf einen ungefährlich wirkenden, aber infizierten Link oder das Öffnen eines mit Schadsoftware verseuchten Anhangs einer Email reicht, um Angreifern die Verschlüsselung aller Daten am PC und darüber hinaus im gesamten Netzwerk sowie auf eingebundenen Cloud-Diensten zu ermöglichen.

Oftmals zahlen Institutionen die von den Erpressern geforderten Beträge, um schnellstmöglich ihre Daten zurück zu bekommen, normale Betriebsabläufe wiederherzustellen und weitreichendere Finanz- oder Imageschäden abzuwenden.

Ransomware: Wer zahlt, wird erneut angegriffen
Ransomware: Wer zahlt, wird erneut angegriffen
Foto: Carlos Amarillo - shutterstock.com

Doch wer zahlt, kauft sich nicht dauerhaft frei. Zahlungswillige Opfer werden von Angreifern auch ein zweites und drittes Mal heimgesucht.

Man lässt es also besser gar nicht erst zu einem erfolgreichen Angriff kommen oder ist alternativ auf einen Angriffsfall so gut vorbereitet, dass man mit Sicherheit behaupten kann, Schadenspotenziale so weit eingedämmt zu haben, dass sie vernachlässigbar sind.

Entwickeln Sie eine effektive Sicherheits-Strategie

Wichtige grundsätzliche Präventionsmaßnahmen, die jeder Organisation dienen, umfassen beispielsweise schnellstmögliches Einspielen von Updates und Patches von Softwareherstellern genauso wie konsequentes Deinstallieren nicht benötigter Software.

Ein zentraler und immer aktueller Überblick des Administrators ist dazu erforderlich. Aufgrund seiner vielschichtigen Zugriffsrechte bedarf es gleichzeitig aber auch besonderer Sicherheitsvorkehrungen für seine Rolle, denn für eine weite Verbreitung von Schadsoftware in einem Netzwerk sind genau diese Rechte notwendig.

Die sehr eingeschränkte Vergabe von Administratorenrechten, die Verwendung sehr starker Passwörter zum Log-in für Administratoren, die Verwendung von 2-Faktor-Authentifizierung bei externen VPN-Zugängen, die besondere Sicherung und der auf das Notwendigste eingeschränkte Einsatz der Administratoren-Accounts sowie die gleichzeitige, möglichst weitgehende Rechteeinschränkung anderer Nutzer können das Schadensausmaß im Angriffsfall erheblich mindern.

Gleiches gilt für Backups mit durchdachter Strategie und Offline-Backups sowie das regelmäßige Testen von Wiederherstellungsroutinen.

Auch auf der Ebene der einzelnen Nutzer gibt es - neben der laufenden Förderung von Awareness bei allen Mitarbeitern - weitere präventive Maßnahmemöglichkeiten:

Die Ausführung aktiver Inhalte in Web-Browsern kann eingeschränkt und nicht zwingend benötigte Browser-Plug-ins sollten entfernt werden. Auf die Ausführung von Skripten im Betriebssystem kann unter Umständen gänzlich verzichtet werden Das verhindert beispielsweise versehentliches Ausführen eines schadhaften Anhangs in Emails. Für Serverlandschaften gilt es, das Blockieren von Dateien wie ausführbaren Anhängen, verschlüsselten Archiven sowie MS-Office-Dokument-Makros einzurichten.

Darüber hinaus ist der generelle Einsatz von - immer aktuell gehaltenen - Antivirenprogrammen weiterhin nötig. Jedoch sollte man sich bewusst sein, dass diese Programme einerseits neueste Schadsoftware in vielen Fällen nicht identifizieren oder andererseits durch ihre ständige Anpassungsnotwendigkeit an die jeweilige Umgebung in vielerlei Hinsicht falsch konfiguriert sein können und damit ihre Schutzaufgabe verfehlen.

Wenn auch zahlreiche Präventionsmaßnahmen getroffen werden und IT-Security-Teams versuchen, ständig „am Ball zu bleiben“, bleibt bei größeren Organisationen – ab ca. 200 Mitarbeitern als Richtwert - weiterhin ein erhebliches Unsicherheitspotenzial.

Die Unübersichtlichkeit der IT-Landschaft und die kaum im notwendigen Umfang sicherbare Awareness bei allen Mitarbeitern erfordern umfassendere, durch starke Automatisierung unterstützte und vor allem der aktuellen Gefahrenlage laufend angepasste Sicherheitsmaßnahmen.

Inhalt dieses Artikels